00:00:0087 % der Docker-Images auf Docker Hub enthalten kritische oder hohe Schwachstellen.
00:00:04Statistisch gesehen ist das Image, das Sie gerade bereitstellen wollen...
00:00:08Ja, es ist wahrscheinlich irgendwo und irgendwie anfällig.
00:00:11Das Beängstigende ist: Sie merken es nicht, weil alles weiterhin gebaut wird,
00:00:14alles läuft weiterhin. Bis es das eben nicht mehr tut.
00:00:16Das hier ist Trivy, ein Open-Source-Tool, das das Problem in Sekunden ohne Installation findet.
00:00:21Wir veröffentlichen ständig neue Videos, abonnieren Sie uns also unbedingt.
00:00:29Trivy ist auf GitHub mit über 32.000 Sternen förmlich explodiert und wird täglich mehr genutzt.
00:00:34Man würde erwarten, dass so ein Tool nur Container scannt, aber nein, es scannt eigentlich alles.
00:00:40Container, lokale Dateisysteme, Git-Repos, Kubernetes, Fehlkonfigurationen – was auch immer.
00:00:45Es ist sogar der Standard-Scanner in GitLab.
00:00:48Das hier ist Infrastruktur.
00:00:50In den nächsten etwa 30 Sekunden zeige ich Ihnen, wie Sie es einsetzen können.
00:00:53Es ist einfach genug, um es auch tatsächlich nutzbar zu machen.
00:00:56Alles klar, keine Installation nötig. Ich habe lediglich deren Git-Repo geklont,
00:01:00da sie Test-Container haben, die wir für einen schnellen Einsatz nutzen können.
00:01:04Das Einzige, was Sie sonst noch tun müssen, ist Docker zu öffnen.
00:01:07Hier in meinem Terminal in VS Code können wir einfach diese Zeile einfügen, die man in der Doku findet.
00:01:12Das ist wirklich alles.
00:01:14Docker lädt nun Trivy herunter, führt es aus, scannt das offizielle Nginx-Image – und boom.
00:01:21Kritische Schwachstellen ploppen genau hier auf, falls überhaupt welche vorhanden sind.
00:01:26Hier beginnt es, Sie zu retten. In einer echten Pipeline
00:01:29wollen Sie keinen Bericht, sondern einen harten Stopp für das Programm.
00:01:32Wenn es nun eine kritische Schwachstelle findet: Exit-Code 1,
00:01:36Ihre Pipeline wird fehlschlagen und der Build wird blockiert.
00:01:39Die Erwartung, dass Security-Tools einen nur ausbremsen – Trivy ändert das hier.
00:01:45Es beschleunigt Sie, weil es einen späteren Rollback verhindert.
00:01:49Schön und gut, aber Container-Scanning ist der einfache Teil.
00:01:51Die wirklichen Probleme kommen meist von dem, was wir committen.
00:01:54Ja, Container sind cool, aber schlechter Code ist schlimmer.
00:01:57Scannen wir mal ein katastrophales Dockerfile.
00:01:59Auch das befindet sich einfach im Trivy-Repo.
00:02:01Okay, ich wechsle in das Verzeichnis “trivy-demo”.
00:02:03Man sieht hier: Es erkennt unsichere Praktiken und Probleme wie unsichere Basis-Images,
00:02:07fehlende User-Direktiven, privilegierte Konfigurationen, veraltete Abhängigkeiten usw.
00:02:12Es wird all das für uns aufspüren.
00:02:14Das ist es, was man in der CI will – nicht nach dem Deployment, sondern vor dem Merge.
00:02:18Denn wenn es gemergt wird, wird es zum Problem für alle.
00:02:22Jetzt fixen wir das Dockerfile und lassen es nochmal laufen.
00:02:24Alles sauber und bereit für den Einsatz.
00:02:26Und falls Sie denken: “Ja, aber mein Repo ist riesig” – gut.
00:02:30Genau dort ist es eigentlich am nützlichsten,
00:02:32da es andere Tools gibt, auf die ich gleich noch kurz eingehe.
00:02:35Richten wir es nun auf ein ganzes Repo.
00:02:38Dateisystem-Scan, Abhängigkeiten, Fehlkonfigurationen, einfach alles.
00:02:41Da ich dieses Repo nutze, können wir sehen, ob alles so weit in Ordnung ist.
00:02:45Wo findet das Ganze im Alltag statt und was machen die Leute tatsächlich damit?
00:02:50Man könnte meinen, das sei nur ein Tool für einmalige Scans, aber das stimmt nicht.
00:02:54Trivy fügt sich dort ein, wo Sie bereits arbeiten.
00:02:56Für die lokale Entwicklung gibt es die VS-Code-Erweiterung; in der CI reichen drei Zeilen GitHub Actions.
00:03:02Und wer Kubernetes nutzt: Der Trivy-Operator scannt automatisch jeden Workload im Cluster.
00:03:07Sie brauchen nur einen Befehl in Ihrer Pipeline.
00:03:09Berichte zeigen, dass Supply-Chain-Angriffe um über 400 % zugenommen haben.
00:03:12Devs waren schon immer Teil der Sicherheitsseite, also hilft das hier enorm.
00:03:17Die besten Security-Tools bremsen nicht, sie blockieren Probleme und spätere Mehrarbeit.
00:03:22Ich finde Trivy ziemlich cool, aber ist es wirklich besser als die Konkurrenz?
00:03:26Denn es gibt durchaus Alternativen.
00:03:26Seien wir ehrlich, es gibt andere Scanner da draußen.
00:03:29Vielleicht nutzen Sie diese bereits.
00:03:31Da wäre Grype, aber das ist nur für Container.
00:03:34Dann gibt es Snyk, aber das kostet Geld.
00:03:37Das sind beides Gründe, warum viele andere zu Trivy wechseln.
00:03:41Es ist schnell und kostenlos.
00:03:42Es beherrscht Container, Secrets, SBOMs, Kubernetes, Dateisysteme – das volle Programm.
00:03:48Es ist eher ein All-in-one-Tool.
00:03:50Falls das neu für Sie ist – oder auch nicht: Was halten Sie von Trivy?
00:03:53Wir sehen uns im nächsten Video.